Η Google περιορίζει το sideloading και την εγκατάσταση εφαρμογών εκτός Play Store

 Σύμφωνα με πρόσφατες αναφορές χρηστών, μηνύματα που προτρέπουν την εγκατάσταση εφαρμογών αποκλειστικά μέσω του επίσημου καταστήματος της Google έχουν αρχίσει να εμφανίζονται σε διάφορες περιπτώσεις.

Η πρακτική της χειροκίνητης εγκατάστασης εφαρμογών, γνωστή ως "sideloading", αποτελούσε μέχρι πρότινος μια εναλλακτική επιλογή για τους χρήστες Android. Η μέθοδος αυτή επέτρεπε την εγκατάσταση εφαρμογών από πηγές εκτός του Google Play Store, είτε λόγω χρήσης προσαρμοσμένων εκδόσεων του λειτουργικού συστήματος, είτε για πρόσβαση σε πειραματικές, πειρατικές ή μη διαθέσιμες στο επίσημο κατάστημα εφαρμογές.

Ωστόσο, η Google φαίνεται να αλλάζει στάση απέναντι σε αυτή την πρακτική. Όπως αναφέρει το Android Authority, νέα εργαλεία για προγραμματιστές που παρουσιάστηκαν στο συνέδριο Google I/O τον Μάιο, έχουν αρχίσει να εφαρμόζονται στις συσκευές των χρηστών. Τα εργαλεία αυτά επιτρέπουν την εμφάνιση μηνυμάτων "επανόρθωσης" κατά τη διάρκεια της χειροκίνητης εγκατάστασης εφαρμογών.

Χρήστες που επιχείρησαν να εγκαταστήσουν εφαρμογές όπως το Tesco (ένα βρετανικό κατάστημα), το BeyBlade X (μια εφαρμογή για οπαδούς) και το ChatGPT, ανέφεραν ότι έλαβαν προτροπές με το μήνυμα "Λάβετε αυτή την εφαρμογή από το Play Store". Σημαντικό είναι το γεγονός ότι αυτά τα μηνύματα δεν μπορούν να παρακαμφθούν, εμποδίζοντας ουσιαστικά την εγκατάσταση της εφαρμογής εκτός του επίσημου καταστήματος.

Η νέα αυτή λειτουργία βασίζεται στο Play Integrity API της Google. Το συγκεκριμένο API χρησιμοποιείται ήδη από εφαρμογές για να ελέγχουν αν μια συσκευή έχει τροποποιηθεί από την εργοστασιακή της κατάσταση ή αν διαθέτει όλες τις ενημερώσεις του Google Play. Μέσω αυτού του μηχανισμού, οι εφαρμογές μπορούν να λάβουν μια "ετυμηγορία ακεραιότητας", η οποία ενημερώνει αν το περιβάλλον λογισμικού της συσκευής είναι "αξιόπιστο", αν είναι ενεργοποιημένο το Google Play Protect και αν πληρούνται άλλοι έλεγχοι ασφαλείας.

Πρόσφατα, μια δημοφιλής εφαρμογή διπλού παράγοντα αυθεντικοποίησης (2FA) απέκλεισε την πρόσβαση σε συσκευές που είχαν γίνει root, συμπεριλαμβανομένων εκείνων που χρησιμοποιούν το λειτουργικό σύστημα GrapheneOS, το οποίο είναι γνωστό για την έμφαση που δίνει στην ασφάλεια. Το περιστατικό υπογραμμίζει τις πιθανές επιπτώσεις της αυστηρότερης εφαρμογής των ελέγχων ακεραιότητας.

Η ομάδα πίσω από το GrapheneOS έχει εκφράσει αμφιβολίες σχετικά με την αξιοπιστία του συγκεκριμένου API της Google και των συστημάτων πιστοποίησης SafetyNet. Αντ' αυτού, προτείνουν τη χρήση τυπικών μεθόδων πιστοποίησης Android hardware. Η πρόταση αυτή βασίζεται στην άποψη ότι οι έλεγχοι που πραγματοποιούνται σε επίπεδο υλικού είναι πιο αξιόπιστοι και λιγότερο επιρρεπείς σε παραβιάσεις.

Ο ειδικός σε θέματα Android, Rahman, επισημαίνει ότι οι προγραμματιστές εφαρμογών δεν χρειάζεται να υιοθετήσουν μια προσέγγιση "όλα ή τίποτα" όσον αφορά τους ελέγχους ακεραιότητας. Αντί να αποκλείουν εντελώς την εγκατάσταση, οι εφαρμογές θα μπορούσαν να καλούν το API μόνο κατά τη διάρκεια ευαίσθητων ενεργειών, εκδίδοντας μια προειδοποίηση στο συγκεκριμένο σημείο. Αυτή η προσέγγιση θα μπορούσε να προσφέρει έναν συμβιβασμό μεταξύ ασφάλειας και προσβασιμότητας.

Ωστόσο, η απουσία σύνδεσης με το Play Store μπορεί να έχει και άλλες επιπτώσεις για τους προγραμματιστές. Χωρίς αυτή τη σύνδεση, οι προγραμματιστές στερούνται σημαντικών μετρήσεων και αναλύσεων για τη χρήση των εφαρμογών τους. Επιπλέον, υπάρχει ο κίνδυνος εγκατάστασης εφαρμογών σε μη συμβατές συσκευές, γεγονός που μπορεί να οδηγήσει σε αρνητικές κριτικές. Τέλος, η ελεύθερη διανομή εφαρμογών εκτός του επίσημου καταστήματος ανοίγει την πόρτα στην πειρατεία επί πληρωμή εφαρμογών.

Ένα συγκεκριμένο παράδειγμα των νέων περιορισμών εντοπίστηκε από έναν χρήστη φορητής συσκευής gaming Android, ο οποίος ανέφερε ότι έλαβε παρόμοιο μήνυμα προτροπής από το παιχνίδι Diablo Immortal στη συσκευή του πριν από τρεις μήνες.